Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 128 reacties
Submitter: begintmeta

De beveiliging van de vijf meestgebruikte browsers blijkt ontoereikend om opgeslagen wachtwoorden van gebruikers veilig op te slaan, zo blijkt uit een onderzoek. De wachtwoorden werden in het gros van de tests prijsgegeven.

Beveiligingsonderzoeker Robert Chapin onderwierp vijf courante browsers van evenzovele softwarebedrijven aan een veiligheidstest. Hij onderzocht hoe betrouwbaar de ingebouwde wachtwoordopslag van de browsers was, waarbij bleek dat alle vijf geteste browsers in gebreke bleven. Het best uit de test kwamen Firefox 3.04 en Opera 9.62, die echter nog steeds voor slechts zeven van de eenentwintig tests slaagden. Hekkensluiters waren Safari 3.2 voor Windows en Google Chrome 1.0, die voor slechts twee tests slaagden. Microsofts browser Internet Explorer 7.0 kwam als middenmoter uit de test en slaagde voor vijf van de tests.

Het betrouwbaar opslaan en automatisch invullen van wachtwoorden zou drie probleemgebieden hebben. Ten eerste wordt niet altijd gecontroleerd waar de wachtwoordmanager opgeslagen wachtwoorden naartoe stuurt. Ook de locatie die om opgeslagen logingegevens vraagt, wordt niet in alle gevallen nagetrokken. Ten derde zouden onzichtbare formulieren op een webpagina zonder medeweten van de gebruiker om wachtwoorden kunnen vragen. Gecombineerd zouden de wachtwoordmanagers onveilig met opgeslagen inloggevens omgaan en zouden persoonlijke gegevens zonder medeweten van de gebruiker en zonder malware op de pc in verkeerde handen kunnen komen. Het gebruik van wachtwoordmanagers van derde partijen als Roboform zou, samen met Opera of Firefox, volgens Chapin enige mate van veiligheid bieden.

Browsertest wachtwoorden
Moderatie-faq Wijzig weergave

Reacties (128)

Zo'n password manager moet eigenlijk niet in je browser zitten.
Het zou beter zijn om een externe manager te hebben, waar je browser dan ook gebruik van kan maken. Zo'n beetje zoals Gnome en KDE het ook doen.
Maar dan aub goed gestandariseerd, zodat als ik onder Firefox een wachtwoord invul, ik dat ook kan gebruiken als ik een keertje met Opera browse.

Als iemand zich geroepen voelt om te gaan programmeren, kijk dan ook even goed naar SSH-agent. Dat beheert ook een "sleutelbos", en heeft de enorm handige feature dat je er andere "sleutelbossen" aan kan koppelen.
Een voorbeeld is denk ik het duidelijkste.

Ik zit op de universiteit te werken, en wil ergens inloggen.
Het wachtwoord staat op m'n thuis-pc, maar (uiteraard) niet op m'n werk-pc in de openbare computerruimte.

Ik zou dan met remote-desktop op m'n thuis pc kunnen gaan, en vanaf daar inloggen, maar dat heeft zo z'n nadelen, zeker als mijn internet verbinding thuis niet zo snel is.

Ik zou ook m'n wachtwoord bestand van thuis kunnen kopieren, op m'n werk-pc zetten, en na afloop weer verwijderen, maar dat ding staat in een openbare ruimte en ik wil niet het risico lopen dat ik vergeet m'n wachtwoord bestand te verwijderen.

De oplossing is ssh-agent. Daarmee verbind ik naar m'n thuis-pc, en kopieer dan de wachtwoorden van thuis naar het werk-geheugen van m'n werk-pc. Wanneer ik dan uitlog of m'n pc herstart is alles weer weg, maar zolang ik ingelogd ben kan ik al m'n wachtwoorden gebruiken alsof ik thuis achter m'n eigen pc zit.
Test gedaan met SRware Iron, doet het wel iets beter dan google Chrome.

Test Performed Result
Action Authority Checked on Retrieval PASSED
Action Authority Checked on Save FAILED
Action Authority Raises Warnings FAILED
Action Path Checked on Retrieval FAILED
Action Path Checked on Save FAILED
Action Scheme Checked on Retrieval PASSED
Action Scheme Checked on Save PASSED
Action Scheme Raises Warnings FAILED
Action Scheme Prevented if Unsafe FAILED
Autocomplete=Off Prevents Form Fills PASSED
Invisiblility Prevents Form Fills FAILED
Method Checked on Retrieval FAILED
Method Raises Warnings FAILED
Multiple Paths Per User Per Authority FAILED
Multiple Ports Per User Per Host PASSED
Multi. Schemes Per User Per Authority PASSED
Page Path Checked on Retrieval FAILED
Random Name Attr. Prevents Form Fills FAILED
User Required for PW Retrieval FAILED
User Required for PW Save FAILED
Valid URIs Don't Break Anything FAILED
Ik gebruik al jaren een TrueCrypt volume voor al mijn opgeslagen profielen (inclusief browser-files), daar kan alleen ik bij als ik dat volume mount middels een keyfile en/of wachtwoord en/of vingerafdruk-scan.
Dat scheelt ook shit als mijn laptop of PC ooit gestolen zou worden, of per ongeluk in beslag genomen mocht worden. Alle gevoelige data is niet te ontcijferen zonder er een flinke tijd brute force op te moeten rekenen.

http://www.truecrypt.org/

Een Truecrypt filecontainer is heel makkelijk te installeren, ook voor leken. Enige wat je eenmalig daarna 'moet' doen is zorgen dat je Firefox profile, of de gehele Documents & Settings folders, op de mounted truecrypt container staan.

Dan is alleen nog de externe breuk gevaarlijk tijdens gebruik van je browser, maar met fatsoenlijke hardware firewall-bescherming en gebruik van AdBlockPlus bijv. heb je daar bij Firefox minimaal last van.

[Reactie gewijzigd door jubeth|IA op 15 december 2008 01:42]

KeePass is ook een optie. Die gebruikt een secure file. Maar dan nog...iemand die toegang heeft tot je PC als je even weg bent, kan zo overal in komen dankzij het automagisch invullen van wachtwoorden. Daarom doe ik dat gewoon niet. Ik neem gewoon de moeite om ze ofwel te onthouden of zelf uit KeePass te copy/pasten. Ik wil mijn veiligheid niet zomaar aan een stomme computer overlaten om er later achter te komen dat er een lek in zit zo groot als een Mack truck.
Ja, dat je een wachtwoord waarmee je toegang krijgt tot een heleboel andere wachtwoorden (zoals bij mijn Truecrypt idee) niet lokaal moet laten bewaren is natuurlijk logisch. Wie doet dat nou?

Ik bewaar alle wachtwoorden en logons in mijn Firefox gebruik. Het profile staat echter op slot achter de zéér zware Truecrypt bescherming. Ik zie hier niet snel een gevaar ontstaan. Truecrypt unmount vanzelf (op verzoek) na instelbare hoeveelheid tijd idle of sleep of stroomuitval of screensaver e.d.
Enige waar je dan nog mee kunt kraken is een keylogger, een tap op je keyboard-PC link, of een camera die meekijkt op je keyboard. Die 3 opties kan ik gelukkig meestal wel uitsluiten.
Voor een heleboel sites (oa bv tweakers) heb ik echt geen zin steeds vanalles te tiepen als ik snel ff wil gluren en reageren. Bekijk 6 sites en het is al snel vervelend. Comfort moet te doen zijn imo, dus ik gebruik de wand van Opera met een hoofdcertificaat.

Toen mijn laptop eens was gestolen heb ik al mijn gecachte wachtwoorden verandert (voor de zekerheid) van heleboel websites. Ik weet niets meer uit mijn hoofd en zet 'wand' en 'cert' dan ook altijd op een usbstick voor wachtwoord portability.

Ik denk dat dit samen veilig is, en dat je gewoon goed moet opletten welke websites je vertrouwt. En als je alles toch cache't is het geen moeite voor elke site een ander wachtwoord te nemen. Zit er eens een rotte site tussen die je wachtwoord lekt dan ben je maar voor 1 site de sjaak.

Wat ik me wel altijd afvraag, hoeveel tekens moet je tegenwoordig in je wachtwoord doen (voor je gecachte wachtwoorden, voor een protected archive (zip/rar) of voor TrueCrypt) om redelijkerwijs te kunnen zeggen dat het niet gebruteforced kan worden, ook niet over 15 jaar wanneer mijn oude spullen in de verkeerde handen zouden vallen?
Dat hangt niet alleen van de lengte van je wachtwoord af, maar ook van de gebruikte encryptiemethode (algoritme). Bij bijv. TrueCrypt, dat AES (kan) gebruiken, zit dat wel goed. Maar RSA-keys (tot 2048 bits) zijn lang zo veilig niet meer en worden regelmatig door de NSA gebroken.

Maar goed, daar van afgezien; je moet nu toch zeker wel >25 tekens hebben om echt safe te zitten, natuurlijk met gebruik a-z, A-Z, 0-9, !@# etc...

In zo'n geval heb je zo'n 2,1 * 10^49 mogelijke wachtwoorden. De snelste computer op dit moment zit op 1 * 10^15 FLOPS, en waar we over 15 jaar zijn? Tja, als je de kwadratische groei van rekencapaciteit doortrekt zit je op zo'n 4,1 * 10^18 FLOPS in 2024.

Maar laten we het eens extreem nemen: 5 * 10^35 FLOPS in 2024 (15 jaar na nu dus) ofwel 500.000.000.000.000.000.000.000.000.000.000.000 berekeningen per seconde. Zelfs dan duurt het nog 1,3 miljoen jaar voordat alle mogelijkheden zijn afgegaan. Anders gezegd, stel dat jij die gegevens nog zo'n 50 jaar veilig wil houden, dan is er een kans van 0,004% dat ze je wachtwoord in die tijd kraken.
Laten we even wat feiten op een rij zetten: hier kun je lezen dat een 663 bits RSA key het record van dit moment is en dat ze voor de 768 bits key gaan. Hier en hier kun je lezen dat (minstens één) expert meent dat over 5-10 jaar computers krachtig genoeg zijn om - als je er een hoop hebt en lang wacht - een 1024 bits RSA key te kraken.

Bedenk dat het niet zo is dat een 2048 bits key slechts twee keer zolang duurt om te kraken: een key is eigenlijk een product van twee priemgetallen. Je moet proberen deze twee zien te vinden, want het is ondoenlijk 2^1024 mogelijkheden gaan proberen. Het hele idee van priemfactorisatie is nou juist dat het steeds moeilijker wordt om voor grote getallen deze priemfactoren te vinden. Een 2048 bits key zal dus de komende jaren veilig zijn, en een 4096 bits key al helemaal.

Nog wat feiten over hoe sterk een wachtwoord is: dit is van veel factoren afhankelijk: het aantal tekens, de hoeveelheid tekens en patronen in deze tekens. Ook is van belang hoe dit opgeslagen wordt.

Als je wachtwoord klein is, bijvoorbeeld maar 3 tekens lang, dan is het niet zo moeilijk om ze gewoon allemaal te proberen. Zo ook als je bijvoorbeeld alleen cijfers gebruikt: om het aantal mogelijkheden van een wachtwoord te bepalen geldt: (aantal mogelijke tekens) ^ (aantal tekens in het wachtwoord). Een langer wachtwoord versterkt een wachtwoord aanzienlijk, maar ook als je alleen cijfers (10 mogelijkheden) uitbreidt met grote en kleine letters (10 + 26 + 26 mogelijkheden) is je wachtwoord meteen een stuk veiliger.

Het tweede probleem met wachtwoorden zijn de 'woordeboek' aanvallen. Iemand maakt een lijst met veelgebruikte woorden, namen (en soms ook verkeerde spelling) en gaat deze simpelweg allemaal proberen. Gebruik je een wachtwoord als "Piet1975", dan zal deze waarschijnlijk wel geraden worden, maar 'w2DS9yT45g' niet.

Je wachtwoord wordt niet zomaar opgeslagen, maar deze wordt (meestal) eerst door een 'mangel' gehaald, een zogenaamd 'hash' algoritme. Je kunt uit de uitvoer niet de invoer weer terughalen, maar bij een bepaalde invoer komt wel steeds dezelfde uitvoer. Dit algoritme moet voorkomen dat iemand gaat proberen een wachtwoord te vinden dat weliswaar niet hetzelfde is, maar wel op hetzelfde uitkomt als het gemangeld is. Je bent namelijk vaak (naar verhouding) lang bezig met het mangelen van een wachtwoord. Stel dat een normale PC er één seconde mee bezig is, je een wachtwoord hebt van 10 tekens met cijfers, hoofd en kleine letters, dan moet je 62^10 seconden = 20 miljard jaar rekenen om alles af te gaan (met zo'n normale PC).

Voor advies over een goed wachtwoord, zie de quote van the_stickie hieronder.
(aantal mogelijke tekens) ^ (aantal tekens in het wachtwoord)
Even een korte opmerking over je formule: dit gaat er wel vanuit dat elk teken op elke positie voor kan komen. Als iemand je password wil kraken en denkt "het zullen vast een stel kleine letters zijn met maximaal drie rare tekens erachter" dan ga je bijvoorbeeld van (10+26+26)^10 = 8.4 × 10^17 naar 26^7 * 62^3 = 1.9 x 10^15. Nog steeds veel, maar wel meteen 440 keer minder.
RSA-keys (tot 2048 bits) zijn lang zo veilig niet meer en worden regelmatig door de NSA gebroken.
Bron aub. Dit soort fud maakt dat men straks niet meer op het internet durft te doen.
hoeveel tekens je nodig hebt, hangt natuurlijk ook af van hoe het wachtwoord achetraf verwerkt wordt. Je hebt niks aan een string van 120 karakters als de hash wordt opgeslagen in 8 bytes ofzo...
Microsoft zegt hierover het volgende:
"A strong password should appear to be a random string of characters to an attacker. It should be 14 characters or longer, (eight characters or longer at a minimum). It should include a combination of uppercase and lowercase letters, numbers, and symbols."
Bron

Ik ga er overigens vanuit dat binnen 15 jaar de mogelijkheden voor brute-forcing zo zijn toegenomen, dat alle huidige wachtwoorden in no-time te brute-forcen zullen zijn.
Vandaar de nood aan goed ontwikkelde authenticatie: iemand die x aantal keer een foutief wachtwoord heeft geprobeerd, hoort niet meer geauthenticeerd te worden!
Vraag ik me toch af hoe lang 't password is van Bill Gates z'n thuis-pc'tje :P
(niet dat een lang wachtwoord zin heeft omdat de hashes van Vista zo lek zijn als een mandje en het hele internet overspoeld van de 'how-to-hack-XP/Vista-tutorials' )
Dat het internet vol met deze tutorials zou staan heeft op zich natuurlijk niets te maken met hoe goed de beveiliging van XP/Vista is. Als er 1x mogelijkheid wordt gevonden, met een paar varianten, heb je zo het internet vol, zeker met een product als Vista/Xp
Jij doelt waarschijnlijk op de verouderde LAN Manager Hash die tot en met XP gebruikt werd. Die is inderdaad slecht, maar werd alleen gebruikt voor wachtwoorden tot 15 tekens (in XP, that is). Daar boven werd NTLM v1 al gebruikt, wat een sterkere hash oplevert. Sinds Vista worden alle wachtwoorden opgeslagen als NTLM v2 hash en die zijn niet zo eenvoudig te kraken.

In XP kan je ook forceren dat NTLM altijd gebruikt wordt.
Brute forcing blijft moeilijk. Denk eraan dat de brute force rekentijd exponentieel toeneemt met de complexiteit van je wachtwoord.

Het hebben van een 256-bit password (pak 'm beet een zinnetje van 40 karakters die makkelijk te onthouden is) is even complex als het kiezen van een willekeurig atoom in het bekende deel van het heelal.

Om een 256-bit key te brute forcen met een op elektronica gebaseerde computer kost je minstens een eV (electronvolt) per bewerking, omdat je bijvoorbeeld een electron van baan moet veranderen. Het aantal benodigde bewerkingen is zo groot, dat ons zonnetje niet genoeg energie heeft om alle 2^256 mogelijkheden uit te proberen.
Ik vind de titel een beetje misleidend. Hij suggereert dat de opslag onveilig is, alsof een derde gemakkelijk bij de opslag van alle wachtwoorden kan komen. In feite is het 'slechts' de afhandeling die onveilig is.

EDIT:
Ik ben die tests eens aan het doorkijken, en ik moet zeggen dat sommige tests een beetje onzinnig overkomen. Neem nu "Method Check on Retrieval", die geeft aan dat een wachtwoord niet opgehaald mag worden als de HTTP methode van het form verschilt. Dat heeft wellicht zin als je van POST naar GET gaat, maar andersom helemaal niet. Daarbij kan men beter het wel of niet in plaintext outputten van het wachtwoord als criteria stellen (zodat alleen POST->GET failed, en niet iedere verandering).

[Reactie gewijzigd door Patriot op 14 december 2008 17:44]

Gebruik je Firefox? Ga maar eens naar Extra -> Opties -> Beveiliging -> Opgeslagen Wachtwoorden en druk op "Wachtwoorden Tonen". Je bent zeker niet de eerste zonder een hoofdwachtwoord, en met een hoop opgeslagen wachtwoorden. Lekker leesbaar voor elke '3e' persoon die wat info nodig heeft over jou.

Als ik je ken zou het vast niet moeilijk zijn om even achter je PC te mogen kruipen om 'wat op te zoeken'. Of een onbewaakt moment even te kunnen kijken. En als ik je laptop in handen krijg is het ook heel makkelijk om je wachtwoorden hieruit te halen.
Hmm ik moet toch anders het wachtwoord invullen om achter te halen welke sites met welke username en dan voor wachtwoord ook weer een wachtwoord

Hebben ze getest met of zonder meester wachtwoord
Is het opslaan van wachtwoorden door browser OS afhankelijk?
Dat is een goede vraag. Onder Mac OS X wordt denk ik Keychain gebruikt hiervoor, dit zal niet onder Windows beschikbaar zijn. De Windows versie van Safari is getest, het zou dus goed kunnen dat de OS X versie van Safari er veel beter uit komt. Om die reden vind ik deze test enigszins misleidend.
Dit is pure speculatie. Ik snap niet dat je hierom omhoog bent gemod.

De hele test is lastig te interpreteren. Ik weet niet of er nog veel meer methodes zijn om erachter te komen hoe veilig een browser is op dit gebied. Indien dat het geval is, kan deze test een bias bevatten.

Iemand anders riep dat het tegenviel van Chrome, maar dat product staat nog in de kinderschoenen. Zij hebben nog veel ruimte om te verbeteren.
Dat chrome nog in de kinderschoenen staat is absoluut géén argument.

Als ik een auto op de markt zou brengen die airbags op een andere manier implementeerd waardoor ze minder snel afgaan maar wel werken. Nou reken maar dat als ik een claim zou krijgen van iemand die een gebroken schedel heeft opgelopen ik écht niet weg kan komen met het argument: Ja maar de ontwikkeling van de auto staat nog in de kinderschoenen, we patchen alle auto's wel even maar jij hebt gewoon pech!

Het gaat mij er puur om dat élk product nog veel ruimte heeft om te verbeteren, in welk stadium dan ook. En dus niet alleen een product dat net een x aantal maanden op de markt is...
Dat chrome nog in de kinderschoenen staat is absoluut géén argument.
Niet? Daar ben ik het eigenlijk niet mee eens. Je voorbeeld is bovendien veel te overdreven om me van je stelling te overtuigen.

Alle browsers bieden een vorm van veiligheid, deze veiligheid is echter (net als bij een airbag overigens) niet 100% gegarandeerd. Wel ontwikkelen ze steeds nieuwere versies die beter werken. Aan een nieuw product als Chrome word waarschijnlijk veel actiever gewerkt dan aan browsers die al een langere tijd bestaan, dus is de kans groot dat een deel van de problemen op korte termijn verholpen wordt.
Waarom wordt er dan gezegt dat Chrome beter en veiliger is dan IE? Dat mag gezegt worden want het staat nog in de kinderschoenen. Dus ze mogen 15 jaar internet ontwikkeling en kennis zelf ook nog eens over pas 15 jaar implementeren en tot die tijd zien we het door de vingers?
@Patriot
Chrome -> beta
Dus het lijkt me als je een prototype van een auto test, dat je niet veel kan klagen als bepaalde dingen niet goed werken. Je zal dan ook een release-form moeten tekenen. Net als je bij chrome aangeeft dat je OK bent met het testen van een beta.

edit: net uit beta dus, maar de test is misschien wel nog gedaan met de beta versie.

[Reactie gewijzigd door GoBieN-Be op 14 december 2008 23:53]

[...] maar dat product staat nog in de kinderschoenen. Zij hebben nog veel ruimte om te verbeteren.
Sorry, maar dit vind ik een non-argument waarom onveiligheden toegestaan zouden moeten worden. Google heeft Chrome net uit de beta gehaald, dus dan mag je verwachten dat het af is, dus ook wachtwoord management.

Ik vraag me af hoe browser bouwers hier op gaan reageren. De makkelijkste manier is natuurlijk het toevoegen van een verplicht 'master password' om de password manager te openen en wachtwoorden in te laten voegen. Het nadeel is wel weer dat gebruikers dan toch nog een wachtwoord nodig hebben.

Veiligheid op dit gebied is helaas vaak een afweging tussen meer veiligheid bieden, maar iets meer gebruiksongemak, of veel gebruiksgemak (= automatische invulling, etc.), maar dan wel zekerheid dat wachtwoorden niet aan onbevoegden worden uitgegeven. Immers: als er zomaar opeens om een wachtwoord wordt gevraagd, dan is het voor de gebruiker redelijk snel duidelijk dat er iets niet klopt.

Ook even op 'OK' klikken werkt niet, aangezien er een wachtwoord ingevoerd moet worden, waardoor mensen toch wat eerder gaan nadenken of alles wel echt klopt.

[Reactie gewijzigd door the_shadow op 14 december 2008 19:56]

Het master password bestaat al in de browser functionaliteit, echter dit is optioneel, en wordt onthouden voor een bep. sessie duur.
Verschillende besturingssystemen bieden systeemwijde password opslag.
Dat is bijvoorbeeld een verschil tussen de Windows en OS X versie van Safari.
Ik ben wel benieuwd of dit verschil qua veiligheid nog wat uitmaakt. Als de browser immers beslist dat het password ingevuld mag worden maakt het niet uit waar de wachtwoorden worden opgeslagen.
Het opslaan van de wachtwoorden is maar één schakel, en vaak lang niet de zwakste. Bekende exploits hangen er bijvoorbeeld van af dat de attacker een site in hetzelfde domain heeft (dat kan soms bij hyves-achtige community sites) en dan via een onzichtbaar formulier het wachtwoord automatisch laat invullen. Een groot deel van de tests zullen dus meer met de de form- en URI-handling van de render-engine te maken hebben.

In dat verband is het niet zo gek dat Google Chrome en Safari allebei even laag eindigen, dat wijst er op dat webkit op dit punt wat minder ver is dan de oudere engines.
Als we gewoon onze wachtwoorden onthouden of op een papiertje zetten, hoef je geen poespas als dit te hebben.
Ja en toen kwam ik bij je op visite en vind het papiertje met al je wachtwoorden omdat jij die net gebruikt hebt en vergeten op te ruimen omdat ik aanbelde. Ik denk niet dat dat zo veilig is.
Net zo min als een password.txt met al je wachtwoorden en die dan sharen met Limewire of eMule.. (doen heel veel mensen!)
Niet dat ik het niet doe, maar op een papiertje zetten is eigenlijk ook een zonde. Dit geldt dan vooral op de werkvloer waar je toch ook vaak je eigen werk pc hebt.
Zelf gebruik ik overigens ook nooit de opties om wachtwoorden op te slaan. Als je je computer herinstalleert ben je die wachtwoorden namelijk kwijt. Dan kun je ze net zo goed proberen om die wachtwoorden te onthouden.
Het lijkt me heel duiedlijk dat als je veiligheid hoog in het vaandel draagt, gaan wachtwoorden oplsaat, anders dan in je eigen hoofd. Uiteindelijk is geen enkele tool 100% veilig. Het is dan ook een comfortfunctie, en comfort en veiligheid gaan meestal niet samen ;)

Wel is het bizar hoe gemakkelijk wachtwoorden aan browsers ontfutselt kunnen worden :/
Wel is het bizar hoe gemakkelijk wachtwoorden aan browsers ontfutselt kunnen worden :/
Dat is allemaal redelijk overdreven. Je moet hoogstens uitkijken bij websites die in subdirectories andere mensen dingen laten hosten. Op dat moment zou de ene subsite pw's van een andere subsite kunnen stelen.
als ik het goed begrepen heb kan elk programma met toegang tot je computer deze wachtwoorden te pakken krijgen. Niet omdat ze ergens unencrypted opgeslagen zijn, wel omdat de browsers te makkelijk te overtuigen zijn om het wachtwoord af te geven...

[Reactie gewijzigd door the_stickie op 14 december 2008 18:00]

Als ik ergens mijn wachtwoord moet invullen heb ik eerst ook al mijn loginnaam moeten inviullen. Mijn browser geeft pas het wachtwoord nadat ik de loginnaam heb ingevuld. Het argument wat er dan ook wordt gebruikt voor onzichtbare formulieren vind ik een beetje een non-argument. Als ik geen formulier voor me zie dan zal ik ook niets invullen EN dus zal er ook geen wachtwoord worden ingevuld.

Nou hou ik bij mijn echt belangrijke gegevens die wachtwoord onthouder uit maar toch...!
en daarbij mis je nou net het probleem.
Ik kom vaak genoeg op formulieren waarbij mijn browser een hoop gegevens al invult. Wat daar de reden van is? Dat formulier gebruikt dezelfde description voor zijn formuliervelden. De browser reageert op die description en vult de ingevulde gegevens alvast in.
Dit gaat verder dan alleen inlognamen en wachtwoorden. Ook adres, woonplaats, voornaam, achternaam, etc. worden opgeslagen in formulieren.

Met een onzichtbare velden kan ik daardoor al een hoop opvragen als de browser die zou invullen. Firefox en Chrome laten dan ook een behoorlijke steek vallen op dat punt.
Dat klopt (van die discription fields) voor adres gegevens en gebruikersnamen. Echter wachtwoorden niet. De browser geeft maar het WW weer als je op de desbetreffende pagina zit waar het ww origineel opgeslagen werd. Al blijkt uit de tests, dat deze controles scherper mogen.
Ten eerste moet de aanvaller gokken van welke sites er passwords liggen opgeslagen in de computer. Verder zijn niet alle opgeslagen passwords echt waardevol. Toch zou het handig zijn om het gebruik van opgeslagen passwords onder controle van de eindgebruiker te kunnen stellen.
Gokken? Volgens mij kan ik zo een zeer educated guess doen dat de meeste mensen wel Hotmail of GMail gebruiken, wat voor veel thuisgebruikers echt wel waardevolle informatie levert ... als die mail accounts er uit gevist kunnen worden kan vervolgens met die mail accounts alles opgevraagd worden (send password functie van sites). Daarbij laten veel mensen password / account gegevens in hun email opgeslagen staan.
Gelukkig zijn ECHT kritische gegevens (inloggen bij je internet bankieren bijvoorbeeld) meestal wel 3 dubbel beveiligd. In het geval van internet bankieren heb je volgens mij niets aan deze "flaw" van de browsers.
als ik het goed begrepen heb kan elk programma met toegang tot je computer deze wachtwoorden te pakken krijgen. Niet omdat ze ergens unencrypted opgeslagen zijn, wel omdat de browsers te makkelijk te overtuigen zijn om het wachtwoord af te geven...
Een programma met toegang tot je computer heeft dit natuurlijk niet nodig. Die kan gewoon toetsaanslagen bijhouden.
Gelukkig gebruik ik die wachtwoord functies sowieso niet, het onthouden van wachtwoorden voor verschillende websites gaat me namelijk prima af zonder software die dat voor mij doet en dat met wachtwoorden van gemiddeld ~30 tekens.

Niet dat ik zou een geweldig geheugen heb, dat heb ik niet, maar als je eenmaal een makkelijk systeem bedenkt om wachtwoorden te onthouden is het vrij simpel. In mijn geval is het een zin, met leestekens, in combinatie met iets dat me aan de gebruikte service doet denken.
Het verwerken van één of meerdere bestaande woorden (van een willekeurige taal) in je wachtwoord wordt sterk afgeraden door beveiligingsexperts.
Iets als "LoesJEg1ngFIETsen@sch00lplein,echtwrhr!" is dus niet zo veilig als het lijkt. De beste wachtwoorden zijn namelijk 100% random en niet te achterhalen met een dictionary attack met miljoenen woorden in allerlei varianten (hoofd/kleine letters, leestekens etc...).
Het verwerken van één of meerdere bestaande woorden (van een willekeurige taal) in je wachtwoord wordt sterk afgeraden door beveiligingsexperts.
Iets als "LoesJEg1ngFIETsen@sch00lplein,echtwrhr!" is dus niet zo veilig als het lijkt. De beste wachtwoorden zijn namelijk 100% random en niet te achterhalen met een dictionary attack met miljoenen woorden in allerlei varianten (hoofd/kleine letters, leestekens etc...).
Dat is niet helemaal waar. Je hebt niet helemaal begrepen waar die beveiligingsexperts het over hadden. Het probleem ligt namelijk bij mensen die een woord op zich gebruiken als wachtwoord. Bijvoorbeeld "fiets" of "huis". Een kraker kan dan gewoon alle woorden uit het woordenboek invullen, en dan komt hij automatisch bij het goede wachtwoord. In het geval van het door jou gegeven voorbeeld is dat natuurlijk niet zo. Bovendien staan er ook nog niet-alfanumerieke tekens in waardoor het nog veiliger word. Het is bovendien erg lang, wat ook helpt. Het door jou gegeven voorbeeld is dus heel veilig.
ik categoriseer jouw voorbeeld toch onder "veilige wachtwoorden" hoor: voldoende lang, gebruik van grote/kleine letters, cijfers én symbolen. Dat er afzonderlijke woorden in zitten, is niet optimaal, maar hier is imho voldoende gecombineerd en gewisseld. Een dictionary attack heeft het zeer moeilijk met woordcombinaties: als je dictionary 1000 woorden bevat (veel te weinig) en je wil alle combinaties van 2 woorden testen heb je al 1000000 mogelijkheden. Hier worden 5 woorden gecombineerd en gemengd met symbolen ed.

Je waarschuwing geldt overigens wel hoor: "P@ssword", "G3t1n" zijn bijzonder onveilig, maar spijtig genoeg, even vaak gebruikt
Belangrijke dingen van wachtwoorden zijn de lengte, de tekenset en inderdaad geen woordenboekwoorden gebruiken. Punt is, een dictionary attack word eigenlijk nooit gedaan met combinaties van woorden. Dat heeft ook niet zo veel zin, aangezien er enorm veel combinaties zijn; zeker als je leestekens ook nog mee moet nemen, of spatiëring. Het zoekdomein is veel te groot als je een wachtwoord gebruikt van grofweg 30 tekens lang bestaande uit letters, cijfers, symbolen.

Overigens is een wachtwoord als $*&aKUI-__98~±kja89"']798kjn,,m natuurlijk beter; het is ook gigantisch veel lastiger om te onthouden. Wat ik doe is volgens mij een prima trade-off.
Overigens is een wachtwoord als $*&aKUI-__98~±kja89"']798kjn,,m natuurlijk beter; het is ook gigantisch veel lastiger om te onthouden.
Die hoef je ook niet te onthouden. Ik host voor mezelf een online password generator tool. Voor iedere site waar ik een nieuw wachtwoord voor nodig heb laat ik die tool een random seed genereren (die vervolgens een database ingaat voor als ik in de toekomst weer in wil loggen). Vervolgens moet ik mijn master wachtwoord invullen, en uit die seed plus mijn master wachtwoord wordt een hash berekend bestaande uit letters en cijfers, die vervolgens als het wachtwoord voor die site dient.

Het mooie hierbij is dat ik voor iedere site een uniek en compleet random wachtwoord heb, dat bovendien nergens staat opgeslagen.
Het nadeel van het gebruik van al te vreemde tekens is dat het zo lastig is om ze in te voeren, zeker op een andere keyboard layout dan je gewend bent. Ik kan bijna al mijn passwords zonder nadenken blind intypen, maar in een Internetcafe (op vakantie) wordt het soms best lastig, omdat het meestal niet mogelijk is de keyboard layout anders in te stellen...
Soms moet je zelfs zoeken naar gewone tekens. Zelfs in België heb je al het Azerty/Qwerty-probleem en moet je op Shift drukken om cijfers te typen. Hoe verder weg je gaat, hoe groter de problemen worden.
Als je echt rare dingen gebruikt (zoals "±" in jouw voorbeeld, of letters met accenten ofzo) dan wordt het helemaal lastig om je password ingevoerd te krijgen.
Kan iemand me eens uitleggen waarom dictionary attacks niet met een simpele regel op de login server worden uitgesloten? Dus bv niet meer dan 10 pogingen per uur toestaan of zo.
betekend dit dat ik niet meer de passwordfunctie van opera zou moeten gebruiken?
Nee dat betekent dit niet. Het is wel als ik het zo begrijp niet al te slim om echt hele belangrijke wachtwoorden erin op te slaan.

Echter is het wel zo dat als het bij zoveel browsers zo onveilig is en toch nog niet als een groot schandaal in het nieuws is geweest een teken dat naar mijn idee er ook niet echt gebruikt van gemaakt wordt.
Echter is het wel zo dat als het bij zoveel browsers zo onveilig is en toch nog niet als een groot schandaal in het nieuws is geweest een teken dat naar mijn idee er ook niet echt gebruikt van gemaakt wordt.

Daar ga je dan zomaar vanuit. Wellicht zijn er al een aantal die er " spaarzaam en verstandig " mee omgaan. Dit om er nog lang gebruik van te kunnen maken.
Als eht al zo is dat er geen gebruik van word gemaakt, dan zal dit na dit nieuws niet lang meer op zich wachten ben ik bang.

Ik vind het wel achterlijk dat dit op zoveel manieren onveilig is.
Zelf vertrouwde ik het toch al niet en gebruik ik de functie niet.

Ik denk dat hier wel het e.e.a. mee gedaan word in de toekomstige versies...

[Reactie gewijzigd door DMT op 14 december 2008 18:12]

Wat ik dan wel interessant vind, hoe je dan wel met je wachtwoorden omgaat. Gebruik je 1 of 2 wachtwoorden voor alles en onthoud je die, heb je een supergeheugen en kan je talloze sterke wachtwoorden onthouden.
De combinatie mens, sterke wachtwoorden en de talloze online diensten op dit moment gaan gewoon niet goed samen. Daar moet nog eens iets fatsoenlijks en veiligs voor doorbreken.
Keepass is een stap in de goede richting: een versleuteld bestand, beveiligd met een (sterk) wachtwoord en (optioneel) een keyfile om al je wachtwoorden te beheren.
(link)
Inderdaad, je kan er ook macro's voor schrijven die als je browser openstaat, in de juiste vakken het wachtwoord neerzet.

Gebruik Keepass al een paar jaar, naar volle tevredenheid.

(maar eerlijk is eerlijk, ook ik maak nog steeds veel gebruik van de "save password" optie in de browser |:(

[edit]
@Hieronder... je hebt gelijk... oops

[Reactie gewijzigd door Roeligan op 15 december 2008 10:07]

betekend dit dat ik niet meer de passwordfunctie van opera zou moeten gebruiken?

Tjah, dat moet je natuurlijk zelf bepalen.

Als je nog ff geduld hebt, kan ik er met je eigen account antwoord op geven in dit forum :)

[Reactie gewijzigd door DMT op 14 december 2008 18:15]

Het is niet leuk als iemand je paswords zou hebben.
En zeker niet als hij ze gaat gebruiken.
Aan de andere kant, bij de meeste zal het gaan om inloggegevens van forums zoals b.v tweakers.net.


Geen "echt" belangrijke informatie dus.
Dus tja... of je er actie tegen moet nemen?
Ligt eraan waar je wachtwoorden voor dienen..

Mag aannemen dat je de echt belangrijke wachtwoorden niet opslaat.
Mijn hotmail wachtwoord sla ik b.v NOOIT op.

[Reactie gewijzigd door r.marijnissen op 14 december 2008 23:58]

De grote banken in NL hebben hun zaakjes wel redelijk op orde.

Maar ik heb ook een rekening bij de ASN, maar die werkt nog doodleuk met een vast login en wachtwoord. Nou is dit een spaarrekening met een vaste tegenrekening, dus veel kan er gelukkig niet gebeuren. Alleen wanneer mijn tegenrekening gehackt zou zijn, dan is mijn geld bij de ASN ook niet meer veilig.

Maar volgens mij is het zo dat in VK en VS het niet ongebruikelijk is dat mensen met een vast wachtwoord bij hun betaalrekening kunnen. Die zijn dus wel kwetsbaar wanneer ze hun browser automatisch laten inloggen.
Daarnaast hebben de meeste sites waarbij het echt om gevoelige info gaat bij de login wel aangegeven dat het wachtwoord niet bewaard moet kunnen worden door de browser.
Ik heb in ieder geval zelf bij Gmail nog nooit de vraag om het wachtwoord te bewaren van Firefox (of een andere browser, ik gebruik er nogal wat om te testen) gekregen. Het wachtwoord kan wel bewaard worden, maar dan op de servers van Google icm IP/cookie/sessiedata/whatever :)
Ze raden aan roboform in samenwerking met Firefox of Opera te gebruiken... leuk dat roboform alleen voor internet explorer en Firefox werkt! En er voor opera geen enkel alternatief is dan de wand van opera zelf!

Ik gebruik hem ook wel vaak, echt schrik heb ik niet, zou niet weten wie iets met mijn gegevens is, buiten een flauwe plezante om wat grappen uit te halen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True